Mengotorisasi operasi titik akhir API Zonal dengan CreateSession - Amazon Simple Storage Service

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mengotorisasi operasi titik akhir API Zonal dengan CreateSession

Untuk menggunakan API operasi titik akhir Zonal (operasi tingkat objek, atau bidang data), kecuali untuk CopyObject danHeadBucket, Anda menggunakan operasi untuk membuat dan mengelola sesi yang dioptimalkan untuk otorisasi permintaan data latensi rendah. CreateSession API Untuk mengambil dan menggunakan token sesi, Anda harus mengizinkan tindakan s3express:CreateSession untuk bucket direktori Anda dalam kebijakan berbasis identitas atau kebijakan bucket. Untuk informasi selengkapnya, lihat Mengotorisasi titik akhir APIs Regional dengan IAM. Jika Anda mengakses S3 Express One Zone di konsol Amazon S3, melalui AWS Command Line Interface AWS CLI(), atau dengan menggunakan, S3 Express One Zone membuat sesi AWS SDKs atas nama Anda.

Jika Anda menggunakan Amazon S3 RESTAPI, Anda kemudian dapat menggunakan CreateSession API operasi untuk mendapatkan kredenal keamanan sementara yang mencakup ID kunci akses, kunci akses rahasia, token sesi, dan waktu kedaluwarsa. Kredensi sementara memberikan izin yang sama dengan kredenal keamanan jangka panjang, seperti kredensional IAM pengguna, tetapi kredenal keamanan sementara harus menyertakan token sesi.

Mode Sesi

Mode sesi mendefinisikan ruang lingkup sesi. Dalam kebijakan bucket, Anda dapat menentukan kunci kondisi s3express:SessionMode untuk mengontrol siapa yang dapat membuat sesi ReadWrite atau ReadOnly. Untuk informasi selengkapnya tentang ReadWrite atau ReadOnly sesi, lihat x-amz-create-session-mode parameter untuk CreateSessiondi Referensi Amazon S3 API. Untuk informasi selengkapnya tentang kebijakan bucket yang akan dibuat, lihatContoh kebijakan bucket untuk bucket direktori.

Token Sesi

Saat Anda melakukan panggilan dengan menggunakan kredensial keamanan sementara, panggilan harus menyertakan token sesi. Token sesi dikembalikan bersama dengan kredensial sementara. Token sesi dibatasi pada bucket direktori Anda dan digunakan untuk memverifikasi bahwa kredensial keamanan valid dan belum kedaluwarsa. Untuk melindungi sesi Anda, kredensial keamanan sementara akan kedaluwarsa setelah 5 menit.

CopyObject dan HeadBucket

Kredensial keamanan sementara dicakup ke bucket direktori tertentu dan secara otomatis diaktifkan untuk semua panggilan operasi API Zonal (tingkat objek) ke bucket direktori tertentu. Tidak seperti API operasi titik akhir Zonal lainnya, CopyObject dan HeadBucket jangan gunakan CreateSession otentikasi. Semua CopyObject dan HeadBucket permintaan harus diautentikasi dan ditandatangani dengan menggunakan IAM kredensional. Namun, CopyObject dan HeadBucket masih disahkan olehs3express:CreateSession, seperti operasi titik akhir API Zonal lainnya.

Untuk informasi selengkapnya, silakan lihat CreateSessiondi APIReferensi Layanan Penyimpanan Sederhana Amazon.